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Collegebesluit 

Samenvatting 

In artikel 13 van de Wet Bescherming Persoonsgegevens staat dat de organisatie passende technische 
en organisatorische maatregelen ten uitvoer legt om persoonsgegevens te beveiligen tegen verlies of 
tegen enige vorm van onrechtmatige verwerking. Het Ministerie van Binnenlandse Zaken en Konings- 
rijksrelaties heeft opdracht gegeven voor het ontwikkelen van een Baseline Informatiebeveiliging Ne¬ 
derlandse Gemeenten. De Baseline bevat een normenkader dat de beschikbaarheid, integriteit en ver¬ 
trouwelijkheid van gemeentelijke informatie bevordert. Het informatiebeveiligingsbeleid 2014-2018 
voldoet aan de vereiste van de Baseline. 

De visie op informatiebeveiliging is het in 2018 'in control' zijn op het gebied van informatiebeveiliging 
en daarover op professionele wijze verantwoording af te leggen. 

Met het vaststellen van het informatiebeveiligingsbeleid voldoen we aan een onderdeel van het nor¬ 
menkader uit de Baseline Informatiebeveiliging Nederlandse Gemeenten en de verplichting uit o.a. de 
Wet Bescherming Persoonsgegevens. 


Voorgesteld besluit 

Ik stel u voor om: 

l.ln te stemmen met het Informatiebeveiligingsbeleid 2014-2018 


1 Aanieiding 

In artikel 13 van de Wet Bescherming Persoonsgegevens staat dat de organisatie passende technische 
en organisatorische maatregelen ten uitvoer legt om persoonsgegevens te beveiligen tegen verlies of 
tegen enige vorm van onrechtmatige verwerking. 

Tevens volgt er uit de diverse audits die de organisatie moet uitvoeren (zoals DigiD audit, zelfevaluatie 
Waardedocumenten, zelfevaluatie GBA) de verplichting een formeel vastgesteld informatiebeveiligings¬ 
beleid te hebben. 

Het Ministerie van Binnenlandse Zaken en Koningsrijksrelaties heeft opdracht gegeven voor het ontwik¬ 
kelen van een Baseline Informatiebeveiliging Nederlandse Gemeenten. De Baseline is bedoeld om: 

• Gemeenten op een vergelijkbare manier efficiënt te laten werken met informatiebeveiliging 

• Gemeenten een hulpmiddel te geven om aan alle eisen op het gebied van informatiebeveiliging 
te kunnen voldoen 

• De auditlast bij gemeenten te verminderen 

• Gemeenten een aantoonbaar betrouwbare partner te laten zijn 

De Baseline bevat een normenkader dat de beschikbaarheid, integriteit en vertrouwelijkheid van ge¬ 
meentelijke informatie bevordert. In de Baseline staat vermeld dat het College van B&W het informa¬ 
tiebeveiligingsbeleid vaststelt. 


2 Doeisteiling en maatschappeiijke effecten 

De visie op informatiebeveiliging is het in 2018 'in control' zijn op het gebied van informatiebeveiliging 
en daarover op professionele wijze verantwoording af te leggen. 

Het informatiebeveiligingsbeleid draagt in de Meerjarenvisie 2014-2018 daarmee bij aan: 


Domein Burger & Bestuur 

Doelstelling 3: In 2018 is de organisatie in balans wat betreft taken, kwaliteit en capaciteit. 
Resultaat 3.1: De organisatie is duurzaam in control. 
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3 Argumenten 

• Met passende technische en organisatorische maatregelen de gemeentelijke informatie beschermen 

• Waarborgen dat de gemeente voldoet aan relevante wet- en regelgeving op het gebied van infor¬ 
matiebeveiliging 

• Streven naar het 'in control' zijn op het gebied van informatiebeveiliging en daarover op profes¬ 
sionele wijze verantwoording af te leggen 

• Minimalisatie van de eventuele gevolgen voor de organisatie als gevolg van de beveiligingsinci¬ 
denten 

4 Alternatieven 

Een steeds verregaande digitalisering van informatie maakt een specifieke aanpak van beveiliging 
noodzakelijk. 

Wij kiezen in het informatiebeveiligingsbeleid voor een gedifferentieerde risiconeutrale aanpak. Met 
gedifferentieerde beveiliging bedoelen wij dat de gekozen aanpak een doorlopende afweging is tussen 
het te lopen risico en de eventuele schade. Met risiconeutraal bedoelen wij dat de dreiging niet meer 
manifest is, óf als de dreiging wel manifest is geworden, de gevolgschade geminimaliseerd wordt. 

Een eventueel alternatief zou een andere strategische aanpak kunnen zijn, dus meer of minder risico's 
nemen. 

Mijns inziens is het belangrijk dat we weten welke risico's er zijn, continu de afweging maken en erkennen 
dat we niet 100% van de risico's kunnen afdekken (zie 10/Risico's), dus: Van onbewust risico's lopen, 
naar bewust risico 's nemen. 


5 Juridische aspecten 

Met het vaststellen van het informatiebeveiligingsbeleid voldoen we aan een onderdeel van het nor¬ 
menkader uit de Baseline Informatiebeveiliging Nederlandse Gemeenten en de verplichting uit o.a. de 
Wet Bescherming Persoonsgegevens. 


6 Financiën 

Het implementeren van de controlemaatregelen uit de Baseline Informatiebeveiliging Nederlandse 
Gemeenten kan mogelijke financiële consequenties hebben. Wanneer het budget binnen de exploitatie 
van l&A niet toereikend is, wordt dit in een apart voorstel aan u voorgelegd. 


7 Personele aspecten 

Geen 


8 Integraliteit 

Het informatiebeveiligingsbeleid 2014-2018 is opgesteld in samenwerking met het strategische team 
l&A en gepresenteerd aan het managementteam (23 en 30 oktober). Tevens is het beleid besproken 
met de diverse l&A adviseurs, de adviseurs Financiën, en de portefeuillehouder l&A. 


9 Communicatie 

Na vaststelling van het informatiebeveiligingsbeleid 2014-2018 publiceren wij dit op intranet om het 
kenbaar te maken aan de medewerkers van gemeente Schagen. Tevens brengen wij de auditor Ernst 
& Young op de hoogte van dit besluit in het kader van het beveiligingsassessment DigiD. 


10 Risico's 

Informatiebeveiliging kan gezien worden als een onderdeel van risicomanagement. Risico is een kans 
op het optreden van een gebeurtenis, waarvan het gevolg een positief of negatief effect (=schade)kan 
hebben. Wij accepteren het feit dat niet 100% van de risico's op het gebied van informatiebeveiliging 
die wij als gemeente lopen afgedekt zijn. 

Met de snelle ontwikkelingen van bedreigingen e.d. is het niet de vraag "of" gemeente Schagen hier 
slachtoffer van gaat worden, maar "wanneer". Het is daarom van groot belang dat we weten wat we 
moeten doen en hoe we moeten handelen wanneer het gebeurd, zodat de continuïteit gewaarborgd 
blijft. 
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_ I GEMEENTE 

behagen 


11 Behandeling in commissie en raad 

Niet van toepassing 


Bijiage(n): 

Informatiebeveiligingsbeleid 2014-2018 
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